1.企业和阵列
企业是一个逻辑概念,类似于Windows中的域,是企业管理模型在防火墙软件中的体现
阵列是一组ISA计算机的组合。阵列的所有成员共享相同的配置,可以简化对防火墙的管理
网络结构
网络结构包括:本地主机网络、内部网络、外部网络。
本地主机网络:本地主机网络代表ISA Server计算机本身。内外网之间的所有通信都要经过本地主机网络。本地主机网络定义了一组IP地址,这组IP地址包括绑定到本地ISA Server计算机上网络适配器的所有 IP 地址和 127.0.0.1。例如,ISA Server有两个网卡,IP地址分别是192.168.2.65与61.139.0.5。那么,它的本地主机网络包括以上两个IP地址,同时还包括127.0.0.1。
内部网络:内部网络对应于公司内部要保护的网络,通常认为内部网络包含受信任的IP地址范围。在安装ISA Server 2006时,至少要配置一个默认内部网络,也可以指定多个其他内部网络。公司局域网内所有计算机都在内部网络中受到ISA Server的保护。
外部网络:ISA Server防火墙之外的网络就是外部网络。外部网络一般是指具有公用IP地址的Internet网络。在安装ISA Server时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(包括127.0.0.1)。
2.网络模板
为方便设置防火墙策略,ISA为用户提供5个预定义的网络模板
边缘防火墙:
公司ISA Server有两个网络连接,一个连接内部网络,另一个连接外部网络
3向外围网络:
ISA Server连接内部网络、外部网络和外围网络的网络拓扑。外围网络即DMZ区域
前端防火墙
ISA Server连接外部网络和外围网络的拓扑,其作为前端防火墙,内部还有一个防火墙,配置在后端保护内部网络
后端防火墙
连接外围网络和内部网络的防火墙配置,用以保护内部网络,为后端防火墙
3.防火墙策略
防火墙策略由策略元素组成,用于指定防火墙规则的参数,ISA server允许创建多种策略元素,这些策略元素可以再不同的安全规则中重复使用。
ISA的策略元素包括:
协议:
协议类型:TCP、UDP、ICMP或IP
方向:UDP包括“发送”、“接收”、“发送接收”或“接收发送”。TCP包括“入站”和“出站”。ICMP和IP包括“发送”和“发送接收”
端口范围:TCP和UDP的端口范围是1到65535之间
协议号:IP级别的协议是0到254之间的数
用户:
可以包括来自任何身份验证方案(机制)的一个或多个用户
ISA Server预定义了以下用户:
所有经过认证的用户
所有用户
系统和网络服务
内容类型:
ISA可以根据已定义的规则检查数据包的内容,以便限制或过滤某些内容
计划:
时间计划用于设定时间范围,可以根据企业需求将一天24小时分成许多时段
ISA预定义时间计划元素:
周末(Weekends),包括星期六和星期天
工作时间(Work hours),包括从星期一到星期五的上午9:00到下午5:00
网络对象:
网络:网络是一定范围的IP地址
网络集:网络集包含一个或多个网络
计算机:一台计算机代表一个IP地址
地址范围、子网和计算机集:代表一定范围的IP地址